歡迎光臨
每天分享高質量文章

如何攻擊 LTE 4G 網路

原創作者:Ruhr-Universität Bochum & New York University Abu Dhabi

文章來源:https://www.alter-attack.net/

翻譯作者:信安之路(微訊號:xazlsec)myh0st

網路二層協議安全分析

我們在資料鏈路層(也就是網路協議的第二層)上對行動通訊標準 LTE(Long-Term Evolution 也就是我們常說的 4G)的安全分析發現額三種新型攻擊媒介,可以對這個協議進行不同方式攻擊。

一方面我們會介紹兩種被動攻擊方式,分別是身份對映攻擊執行網站指紋識別的方法

另一方面,我們提出了一種叫做aLTEr的劫持密碼的攻擊,涉及的原理是因為 LTE 標準中的規範缺陷導致的,攻擊者可以透過執行 DNS 欺騙來重定向網路連線。

攻擊的後果

1、攻擊的難度如何?

我們在實驗室透過使用實驗裝置進行了測試攻擊,是否成功取決於特殊的硬體裝置以及受控制的環境。這個攻擊在實際的 LTE 環境中不容易實現,然而,透過一些工程上的努力,在實際環境也是可以利用的。

2、能做什麼?

我們之前提出了三個單獨的攻擊:獲取小區裡使用者的身份資訊、瞭解使用者訪問哪些網站、執行重定向攻擊劫持使用者網路連線。

3、我會被攻擊嗎?

理論上有可能,但是不要期望過高,因為這個攻擊成本和難度很高,所以一般對一些敏感人物會更加感興趣(例如政治家、記者等)。

4、這個攻擊誰應該知道?

在釋出這個專案之前我們通知了相關的機構,如 GSM 協會(GSMA)、第三代計劃合作伙伴(3GPP)和電信公司進行負責任的披露。

背景資訊

資料鏈路層(第二層)

LTE  是定義網路功能協議規範的一個複雜集合。通常有兩種型別的流量,一種是控制流量一種是使用者流量。控制流量對使用者流量的傳送和接收進行控制,而使用者流量即為實際內容載荷。

我們關註的是 LTE 規範的第二層,這個資料鏈路層位於物理通道上面,它只要維護使用者和網路之間的無線資訊傳輸。

第二層的主要功能是控制多個使用者如何訪問網路資源、幫助糾正傳輸錯誤並且對傳輸的資料進行加密保護。

安全機制

LTE 為了提供安全傳輸使用了多種安全機制。

當 Bob 的電話連線到網路時,它需要建立相互認證並匯出共享金鑰。相互認證的意思就是網路和電話可以分別驗證合作伙伴的身份,這個通訊過程中,派生金鑰用於加密控制流量和使用者流量。

儘管存在這些安全機制,我們發現,透過主動和被動攻擊可以檢視 Bob 訪問了哪些網站,甚至可以將它重定向到一個虛假的網站。

被動攻擊

什麼是被動攻擊?

在被動攻擊中不會幹擾網路的正常連線,只能透過竊聽的手段獲取流量中的資料。竊聽者 Eve 透過在 Bob 附近部署一個嗅探裝置來實現這一點。因此,她可以訪問 Bob 傳送給網路以及從網路接收到的所有資訊。儘管資料鏈路層的資料都是經過加密保護的,攻擊者仍然可以獲得在通訊過程中的元資料(例如:資料傳輸的時間和頻率)。

網站指紋

資料鏈路層的元資訊可以洩露關於單位時間資料消耗的資訊。例如,當 Bob 觀看影片時的流量肯定比他訪問簡單的網站大。作為攻擊的前奏,Eve 可以記錄訪問一些常見網站時的資料鏈路層的元資訊特徵(也就是網站指紋),在她竊聽到一些元資訊之後,根據網站指紋去匹配,有比較大的機率可以知道標的訪問了哪個網站。

實驗和結果

在我們的 LTE 網路實驗室進行了網站指紋攻擊,我們選擇了不同裝置訪問網際網路上 50 個最受歡迎的網站,我們使用這個實驗來評估和演示根據 LTE 的加密資料鏈路層流量識別網站的可行性。

我們的研究表明,這個攻擊方式是可行的,我們的平均成功率是 89% 左右。將來我們計劃在商業的網路中進行相同的實驗,這樣會因為垃圾資料和不受控制的網路動態而導致攻擊的複雜化。

主動攻擊:aLTEr

在主動攻擊中,攻擊者透過模擬合法的網路或使用者裝置向網路或裝置傳送訊號。在我們的實驗中,攻擊者可以同時攔截並重放  Bob 和網路之間傳輸的所有資料。在 Bob 眼中,所有的訪問都是正常的,不會有任何明顯的異常。

使用者資料重定向

LTE 是在資料鏈路層以上的層使用相互認證來防止 Bob 的手機連線到假的網路。但是,攻擊者可以轉發高層的訊息到不受保護的低層。使用者資料重定向攻擊的核心就是利用使用者資料不受完整性保護。因此,如果攻擊者知道原始的明文,即使資料包是加密的,攻擊者也可以修改資料包的內容。對於 DNS 資料包,我們知道原始 DNS 伺服器的地址,攻擊者可以透過新增特定的偏移量,將 DNS 重定向到攻擊者可控制的 DNS 伺服器。

更技術的說法:使用者資料是以數學樣式(AES-CTR)加密,其中加密演演算法用作金鑰流生成器,密文是透過金鑰流和明文進行 XOR 運算來計算。

DNS 欺騙

惡意的 DNS 伺服器執行 DNS 欺騙,將正常的域名解析到惡意的 IP 地址。手機在訪問一個網站的時候,實際訪問的就是攻擊者指定的惡意網站。DNS 欺騙是網際網路上常見的攻擊,在攻擊者控制 DNS 伺服器的下一跳即可發動攻擊。跟使用者資料重定向攻擊相比,攻擊者只需要靠近受害者即可執行此類攻擊。

最終結果

為了演示 aLTEr 攻擊的可行性,我們在實驗室環境中的商用網路和商用電話內實施了全面的端到端攻擊。我們透過軟體無線電系統實現了基於開源 LTE 軟體棧 srsLTE 的 LTE 中繼。我們使用遮蔽盒來穩定無線電層並防止被真實網路的意外打斷。另外,我們設定了兩臺伺服器來模擬攻擊者如何重定向網路連線:一臺 DNS 伺服器,對特定的 DNS 查詢回覆惡意的 IP 地址;一臺 HTTP 伺服器,模擬使用者登入頁面,IP 就是 DNS 回覆的惡意 IP ,影片演示如下: